Come conservare USDT in sicurezza prima e dopo le scommesse

Redazione «Tether Scommesse» Giugno 4, 2026 Tempo di lettura: 11 min

Il momento più rischioso non è quando giochi

“Mi hanno rubato 1200 USDT, non capisco come”. È il messaggio che mi è arrivato via Telegram più volte, e in nove casi su dieci la falla non era sul bookmaker. Era nel modo in cui il cliente conservava USDT prima e dopo aver giocato. La sicurezza non è il momento in cui clicchi “scommetti”: è il prima — quando depositi, quando prepari il wallet — e il dopo, quando i soldi tornano sul tuo controllo.

I dati confermano la sensazione. Nel 2025 gli indirizzi cripto associati a transazioni illecite hanno ricevuto 154 miliardi di dollari, +162% rispetto all’anno precedente. Una parte consistente passa per stablecoin, e USDT è dentro questi flussi non perché sia complice, ma perché è il token più diffuso. Quando 534 milioni di persone usano un asset, il bersaglio è grande. La buona notizia: chi adotta tre o quattro pratiche di sicurezza non finisce nelle statistiche.

Hot wallet, cold wallet, exchange: dove tieni USDT

Esistono tre livelli, e ognuno ha un senso preciso. Il primo livello è l’exchange centralizzato: comodo per comprare e vendere, ma i tuoi USDT sono custoditi dall’exchange. Significa che se l’exchange viene compromesso o blocca i prelievi, i tuoi soldi sono in standby. Mt. Gox e FTX sono ricordi recenti di chi ha pensato che “comprare e tenere lì” fosse una soluzione.

Il secondo livello è il hot wallet: app sul telefono o estensione del browser (MetaMask, Trust Wallet, Trezor Suite per device, OKX Wallet). Le chiavi private le controlli tu. La connessione internet è permanente, quindi un attacco mirato è teoricamente possibile, ma i casi reali di compromissione su utenti normali — non figure pubbliche — sono molto limitati. Il terzo livello è il cold wallet: hardware device come Ledger Nano S/X o Trezor Model T. Le chiavi private non escono dal dispositivo, le firme avvengono offline. È il livello su cui tieni i saldi che non muovi nel breve.

La regola che applico io: percentuali per livello

Dopo nove anni di scommesse in cripto ho una regola fissa, e la rispetto sempre. Il 70% dei miei USDT è su cold wallet, il 25% su hot wallet del telefono, il 5% sull’exchange. La quota sull’exchange esiste solo perché serve per i piccoli movimenti operativi — comprare, vendere, convertire — e viene rifornita dal hot wallet quando necessario.

Quando devo scommettere, sposto dal hot wallet al bookmaker l’importo che intendo giocare nelle 48 ore successive, non di più. Se vinco e il saldo cresce, prelevo subito sul hot wallet. Se vinco molto, rifornisco il cold wallet. Sembra una coreografia, ma è la differenza fra dormire la notte e svegliarsi con il batticuore. Le proporzioni — 70/25/5 — non sono dogma: scegli le tue, ma scegline una e rispettala.

La seed phrase: la cosa più preziosa che possiedi

La seed phrase è la sequenza di 12 o 24 parole che il wallet ti chiede di scrivere quando lo configuri. Chi ha quella sequenza ha i tuoi soldi. È più importante della password del wallet, perché può ricostruire l’intero accesso da zero. La regola è: non digitarla mai su un dispositivo connesso a internet, non fotografarla, non salvarla su cloud, non condividerla con nessuno.

Io scrivo la mia seed phrase su due fogli di carta, conservati in due posti fisici diversi. Una copia in una cassettina ignifuga a casa, una copia in cassetta di sicurezza in banca. Per saldi grossi, alcuni clienti usano supporti in metallo (Cryptosteel, Billfodl) che resistono a fuoco e acqua. Costano 60-100 € e durano vent’anni. Mi è capitato due volte di dover usare la copia in banca per recuperare un wallet, e ogni volta ho ringraziato di aver investito quell’ora di lavoro iniziale.

L’attacco più diffuso non è hi-tech

Il phishing. Lo so, sembra banale, ma il 90% delle perdite di wallet che ho visto fra i miei clienti è phishing. Scenario tipico: ricevi un’email o un messaggio Telegram che sembra del tuo exchange, o del tuo wallet, o di un bookmaker. Ti chiede di confermare l’account, di approvare una transazione, di “verificare” qualcosa. Clicchi, inserisci la seed phrase su un sito clonato, perdi tutto.

Difesa: nessun servizio legittimo ti chiede mai la seed phrase. Mai. Se qualcuno la chiede, è truffa, sempre. Seconda regola: digita gli indirizzi a mano nel browser, non cliccare mai su link arrivati via email per accedere a wallet o exchange. Terza: usa l’autenticazione a due fattori (2FA) con app dedicata (Google Authenticator, Authy), non con SMS. Lo SIM-swap è un attacco reale e il SMS è il canale più vulnerabile.

Quando l’app del telefono diventa il punto debole

Un Android scaricato senza aggiornamenti da due anni è un colabrodo. I telefoni datati o non aggiornati sono il bersaglio preferito di malware bancari e cripto. Se uso il telefono come hot wallet, il telefono va trattato come uno strumento finanziario: aggiornamenti automatici attivi, app installate solo dagli store ufficiali, niente APK scaricati da link Telegram, schermo bloccato con PIN o biometria, e ricarica solo da cavi e prese affidabili.

Pratica concreta: tengo il wallet sul telefono in un profilo separato, senza email personale né app social attive. Non è paranoia, è igiene. Se domani perdo il telefono, l’attaccante deve rompere il PIN del telefono, poi il PIN del wallet, poi senza la seed phrase non recupera l’accesso da nessun’altra parte. Tre barriere, una dopo l’altra. Ogni barriera in più moltiplica la difficoltà di un attacco riuscito.

Bookmaker: prima del deposito, dopo il prelievo

Sul bookmaker stesso applico tre regole. Prima: prima del deposito controllo l’indirizzo wallet del bookmaker copiandolo direttamente dalla pagina dei depositi del sito, e non da una vecchia email o da un screenshot. Gli indirizzi cambiano. Seconda: dopo il primo deposito mando un piccolo importo di test (10-20 € equivalenti), aspetto la conferma e l’accredito, e solo poi mando il resto.

Terza: ogni volta che il saldo arriva a una soglia che ho deciso prima (per me 500 € equivalenti), prelevo verso il mio hot wallet. Non lascio crescere il saldo sul bookmaker oltre quello che intendo giocare. Mai dimenticare che il bookmaker è custode dei tuoi USDT mentre sono lì, e i bookmaker offshore non hanno gli stessi obblighi prudenziali di un istituto di pagamento europeo. La frase chiave è: il saldo sul bookmaker è denaro in transito, non denaro a riposo.

Smart contract approvals: il rischio invisibile

Quando interagisci con piattaforme decentralizzate per convertire USDT in altri token, dai approvazioni a smart contract per spendere i tuoi token. Ogni approvazione concessa resta valida finché non la revochi attivamente, anche dopo che hai chiuso il browser. Esistono casi documentati di token rubati mesi dopo da approvazioni dimenticate.

Strumenti come Revoke.cash, Etherscan token approvals e altri permettono di vedere tutte le approvazioni attive sul tuo wallet e revocare quelle che non usi più. Faccio questa pulizia ogni 3-6 mesi, costa pochi euro di gas, dura mezz’ora e chiude un fronte di rischio. Su Tron il problema esiste in forma simile, anche se gli importi tipici approvati sono di solito più contenuti per via dei use case retail dominanti.

Backup e ridondanza: pensare al “cosa succede se”

La domanda da farsi prima della crisi è: se domani perdo il telefono, l’hardware wallet va in fumo, e non riesco ad accedere a casa per una settimana, riesco lo stesso a recuperare i miei USDT? Se la risposta è no, hai un problema di backup. Le pratiche minime: due copie cartacee della seed phrase in posti diversi, password manager con backup cifrato (Bitwarden, 1Password) per le credenziali di exchange e bookmaker, backup automatico delle istruzioni di recupero in busta sigillata da consegnare a una persona di fiducia con istruzioni scritte.

L’ultima parte fa storcere il naso a molti: “non voglio dire a nessuno che ho cripto”. Capisco, e per piccoli importi non serve. Ma se hai oltre 10.000 € equivalenti in USDT e non sopravvivi a un incidente domestico, quei soldi vanno persi per sempre. Le tue persone meritano istruzioni chiare. Bastano due fogli A4 in busta sigillata, da aprire solo nel caso peggiore.

Errori frequenti che vedo ogni mese

Alcuni di quelli che ricevo via messaggi sono ricorrenti. Errore numero uno: tenere screenshot della seed phrase su Google Drive, “tanto è cifrato”. No: se l’attaccante prende l’account Google, ha la seed. Errore numero due: usare lo stesso PIN del wallet uguale al PIN del telefono. Se uno è compromesso, l’altro lo è. Errore numero tre: comprare hardware wallet usato su eBay. Mai, mai, mai: si compra solo dal produttore o da rivenditori autorizzati. Un Ledger usato può avere la seed phrase pre-impostata da un attaccante.

Errore numero quattro: rispondere a “supporto” che ti contatta su Telegram. Il supporto vero non ti contatta mai per primo. Errore numero cinque: trasferire saldi grossi senza fare un test piccolo prima. La pazienza di 5 minuti per il piccolo trasferimento di test ha salvato i miei clienti più volte di qualsiasi altra tecnica. Per dettagli su come scegliere fra Ledger, Trezor, MetaMask e altri wallet, ho preparato una pagina che entra nei pro e contro di ogni opzione: quale wallet USDT scegliere per scommettere.

Il check da fare ogni mese in 15 minuti

Ti lascio il check mensile che faccio personalmente, in tre passaggi. Primo: apro la lista delle approvazioni smart contract sui miei wallet (Revoke.cash o equivalente) e revoco quelle che non uso da più di 30 giorni. Secondo: verifico che il backup della seed phrase sia ancora dove deve essere, fisicamente, leggibile, integro. Terzo: aggiorno il firmware dell’hardware wallet se ci sono aggiornamenti rilasciati dal produttore. Quindici minuti, una volta al mese, e la posizione di sicurezza dei miei USDT resta solida. Le tre operazioni messe insieme costano meno della tariffa oraria di un avvocato che dovrebbe rincorrere un wallet vuoto.

Creato dalla redazione di «Tether Scommesse».